[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.
California Gizlilik Hakları Yasası (CPRA) Kasım 2020’de kabul edildi. Artan tüketici verileri gizliliği endişelerine yanıt olarak getirilen 2018’de değişiklik yapıyor. Veri toplama ve işleme uygulamalarını önemli ölçüde etkileyerek tüketicilere işletmelerin verilerini nasıl işlediği konusunda daha fazla kontrol sağladı.
Şirketlere uyum sağlamaları için 1 Ocak 2023’e kadar süre verildi. Bu makale, CPRA’nın temel gerekliliklerini ele alacak ve şirketlerin uyumluluğu sağlamak için gerekli değişiklikleri uygulamasına yönelik pratik ipuçları sağlayacaktır.
Kaliforniya Gizlilik Hakları Yasası (CPRA) nedir?
Bu, Kaliforniya’nın bugüne kadarki en teknik gizlilik yasasıdır. AB’nin daha eski ve daha popüler olanlarına benziyor. Temel fark, GDPR çerçevesinin veri işleme için yasal dayanaklara odaklanmasıdır. Öte yandan, CPRA, devre dışı bırakma onayına dayanır.
CPRA, CCPA tarafından 2018’de tanıtılan altı orijinal tüketici hakkını temel alır. Bir hatırlatma olarak, CCPA hakları şunlardır:
- Bir işletme tarafından hangi kişisel bilgilerin toplandığını bilme hakkı
- Bu kişisel bilgileri silme hakkı
- Kişisel bilgilerin satışını kabul etme veya devre dışı bırakma hakkı
- Bu hakları kullanmak için ayrımcılık yapmama hakkı
- Özel bir dava açma hakkı – veri ihlalleriyle sınırlıdır
CPRA iki ek hak yarattı:
- Yanlış kişisel bilgileri düzeltme hakkı
- Hassas bilgilerin kullanımını ve ifşasını sınırlama hakkı
CPRA ayrıca, yeni düzenlemeler için gizlilik uygulama kurumu olan California Gizlilik Koruma Ajansı’nı (CPPA) da tanıttı.
CPRA iş operasyonlarını nasıl etkiler?
Veri toplama, 21. yüzyılda şirketler için neredeyse evrensel bir faaliyettir. Veri toplama ve işleme uygulamalarındaki önemli değişiklikler, operasyonlarda hafif aksamalara neden olabilir. Örneğin, yeni düzenlemeler işletmeleri hizmet sağlayıcı ve yüklenici ilişkilerini yeniden değerlendirmeye zorluyor. Servis sağlayıcılar ve yükleniciler, bulundukları yere bakılmaksızın, Kaliforniya’daki işletmelerle iş yaparken aynı yasalara uymak zorundadır.
İhlal olmadığında bile yaptırım eylemi mümkün olduğundan, işletmelerin CPRA yükümlülüklerini hızlı bir şekilde anlamaları ve makul güvenlik prosedürlerini uygulamaları gerekir.
Uyumsuzluğun maliyeti nedir?
CPRA düzenlemelerine uyulmaması, suçların niteliğine bağlı olarak mali cezalarla sonuçlanır.
- Bir hatanın cezası, suç başına 2.000 ABD dolarıdır.
- İhmalden kaynaklanan bir hatanın cezası, suç başına 2.500 ABD dolarıdır.
- Düzenlemeleri bilerek göz ardı etmenin cezası, suç başına 7.500 ABD dolarıdır.
Cezalar “suç başına” esasına göre verildiğinden, uyumsuzluk maliyetleri, özellikle bir veri ihlali durumunda kolayca milyonlara ulaşabilir.
Uyumluluk için 7 Adımlı CPRA kontrol listesi
Minimum miktarda kişisel bilgiyi işleyin
CPRA, . İşletmeler yalnızca işleme amaçları için ihtiyaç duydukları kişisel bilgileri almalıdır. Veriden daha fazla veri topluyorsanız, toplama uygulamalarınızı güncelleme zamanı. Toplanan veriler güvenli bir şekilde saklanmalıdır. Saygın bir bulut depolama çözümü mükemmel bir yoldur.
Gizlilik politikanızı ve bildirimlerinizi güncelleyin
CCPA ve CPRA tarafından getirilen sekiz yeni hakla, bu düzenlemelere uymak için değişiklikleriniz olmalıdır. Politika değişikliklerine tüketiciler için yeterli politika bildirimleri eşlik etmelidir. Bildirimleri veri toplamanın başlangıç noktasında sağlamalısınız. Halihazırda toplanmış herhangi bir veriyi yeniden kullanmak için önce izin almanız gerekir.
Bir veri saklama politikası oluşturun
CPRA’nın saklama gerekliliklerine uymak için artık ihtiyacınız olmayan kişisel verileri silmeniz gerekir. Bir veri saklama politikası oluşturmak, uyumluluğa yönelik harika bir ilk adımdır. Politika, toplanan bilgilerin kategorilerini, amaçlarını ve silmeden önce saklamayı planladığınız zamanı içermelidir.
Hizmet sağlayıcılarla sözleşmeleri gözden geçirin
Hizmet sağlayıcılar da aynı düzenlemelere uymak zorundadır. Bu nedenle, herhangi bir üçüncü taraf sözleşmesi, verilerin korunmasını ve güvenliğini sağlamak için verilerin işlenmesine yönelik yeterli önlemleri içermelidir. Hizmet sağlayıcılar, gereksinimlerinize artık uyamayacak durumdalarsa sizi bilgilendirmek zorundadır.
Veri ihlalini önlemek için önlemler alın
Düzenlemelere uyum, tüketici verilerinin korunmasında yalnızca ilk adımdır. Ayrıca siber dayanıklılığınızı artırmak ve veri ihlali olasılığını en aza indirmek için adımlar atmalısınız. Çalışanların parola yöneticileri gibi modern araçları kullanmasını sağlayın. Saldırganların erişim elde etmek için kullandıkları yaygın dolandırıcılıkları fark etmeleri için çalışanları eğitin.
Ayrıca düzenli risk değerlendirmelerini göz önünde bulundurmalı ve sistem açıklarını tanımlamalısınız. Risklerinizi bilmek, verilerinizi korumak için gerekli değişiklikleri yapmanıza yardımcı olacaktır.
Müşterilerin veri paylaşımını devre dışı bırakmasını veya sınırlandırmasını kolaylaştırın
CPRA, işletmelerin tüketicilere verilerinin nasıl işlenmesini istediklerini değiştirebilecekleri bağlantılar sağlamasını gerektirir. Tüketiciler, verilerinin satışına veya paylaşımına izin verebilmelidir. Ek olarak, tüketiciler coğrafi konum, sağlık verileri, belge numaraları vb. hassas bilgilerin kullanımını sınırlama hakkına sahiptir.
Haklarını kullanan müşterilere karşı misillemede bulunmayın
CPRA haklarını kullanan müşterilere karşı misilleme yapılması, yeni düzenlemeleri açıkça ihlal etmektedir. Müşterilerin hakları vardır ve mali cezadan kaçınmak için bunlara uymalısınız.
Son düşünceler
California işletmeleri CPRA düzenlemelerine uymalıdır. Aynı veya benzer veri koruma çerçevelerini uygulayan başka devletler de görüyoruz. Kaliforniya’da bulunmasanız bile, bu yeni yasaları ve bunların iş operasyonlarınızı nasıl etkilediğini anlamak, olumlu değişiklikleri uygulamaya başlamanıza yardımcı olacaktır.
reklam